Tutoriel : Configurer une stratégie de rétention des données pour une table dans un espace de travail Log Analytics
Dans ce tutoriel, vous allez définir une stratégie de rétention pour une table dans votre espace de travail Log Analytics que vous utilisez pour Microsoft Sentinel ou Azure Monitor. Ces étapes vous permettent de conserver à moindre coût des données plus anciennes et moins utilisées dans votre espace de travail.
Les stratégies de conservation dans un espace de travail Log Analytics des données définissent quand supprimer ou archiver des données dans l’espace de travail. Par défaut, toutes les tables dans votre espace de travail héritent du paramètre de rétention interactive de l’espace de travail, et n’ont aucune stratégie d’archivage. Vous pouvez modifier les stratégies de rétention et d’archivage de tables individuelles, sauf pour des espaces de travail au niveau tarifaire d’essai gratuit hérité.
Dans ce tutoriel, vous allez apprendre à :
- Définir la stratégie de rétention pour une table
- Passer en revue la stratégie de conservation et d’archivage des données
Prérequis
Pour suivre les étapes décrites dans ce didacticiel, vous devez disposer des ressources et rôles suivants.
Compte Azure avec un abonnement actif. Créez un compte gratuitement.
Compte Azure avec les rôles suivants :
Rôle intégré Étendue Motif Contributeur Log Analytics - Abonnement et/ou
- Groupe de ressources et/ou
- TablePour définir la stratégie de rétention sur les tables dans Log Analytics Espace de travail Log Analytics.
Définir la stratégie de rétention pour une table
Dans votre espace de travail Log Analytics, effacez le paramètre d’héritage de l’espace de travail afin que la période de rétention interactive soit fixée à 30 jours. Ensuite, modifiez la stratégie de rétention totale d’une table, comme SecurityEvents, pour archiver 30 jours de données.
Connectez-vous au portail Azure.
Dans le portail Azure, recherchez et ouvrez Espaces de travail Log Analytics.
Sélectionnez l’espace de travail approprié.
Sous Paramètres, sélectionnez Tables.
Dans une table, comme SecurityEvent, ouvrez le menu contextuel (...).
Sélectionnez Gérer la table.
Sous Conservation des données, entrez les valeurs suivantes.
Champ Valeur Écran de paramètres de l’espace de travail Désactivez la case à cocher Conservation interactive 30 jours Période de rétention totale 60 jours Sélectionnez Enregistrer.
Passer en revue la stratégie de conservation et d’archivage des données
Dans la page Tables de la table que vous avez mise à jour, passez en revue les valeurs des champs pour la Rétention interactive et la Période d’archivage. La période d’archivage est égale à la période de rétention totale en jours moins la rétention interactive en jours. Par exemple, vous définissez les valeurs suivantes :
Champ | Valeur |
---|---|
Conservation interactive | 30 jours |
Période de rétention totale | 60 jours |
La page Table affiche donc la période d’archivage suivante de 30 jours.
Nettoyer les ressources
Aucune ressource n’a été créée, mais vous pouvez restaurer les paramètres de conservation des données que vous avez modifiés.